К настоящему времени большинство людей знают, что открытая сеть Wi-Fi позволяет людям подслушивать ваш трафик. Стандартное шифрование WPA2-PSK должно предотвратить это, но оно не так надежно, как вы думаете.
Это не новость о новом недостатке безопасности. Скорее всего, так всегда реализовывался WPA2-PSK. Но большинство людей этого не знает.
Открытые сети Wi-Fi и зашифрованные сети Wi-Fi
СВЯЗАННЫЕ С: Почему использование общедоступной сети Wi-Fi может быть опасным даже при доступе к зашифрованным веб-сайтам
Не стоит размещать дома открытую сеть Wi-Fi. , но вы можете использовать его в общественных местах - например, в кафе, проезжая через аэропорт или в отеле. В открытых сетях Wi-Fi нет шифрования , что означает, что все, что передается по воздуху, находится «в открытом виде». Люди могут отслеживать ваши действия в Интернете, а любые действия в Интернете, которые не защищены шифрованием, могут быть отслежены. Да, это верно даже в том случае, если вам нужно «войти в систему» с именем пользователя и паролем на веб-странице после входа в открытую сеть Wi-Fi.
Шифрование - вроде шифрование WPA2-PSK, которое мы рекомендуем использовать дома - несколько исправляет это. Кто-то поблизости не может просто перехватить ваш трафик и подглядывать за вами. Они получат кучу зашифрованного трафика. Это означает, что зашифрованная сеть Wi-Fi защищает ваш частный трафик от отслеживания.
Это отчасти правда, но здесь есть большая слабость.
WPA2-PSK использует общий ключ
СВЯЗАННЫЕ С: Не испытывайте ложного чувства безопасности: 5 небезопасных способов защитить свой Wi-Fi
Проблема с WPA2-PSK в том, что он использует «Pre-Shared Key». Этот ключ является паролем или кодовой фразой, которую вы должны ввести для подключения к сети Wi-Fi. Все, кто подключается, используют одну и ту же парольную фразу.
Кто-то может легко отслеживать этот зашифрованный трафик. Все, что им нужно, это:
- Кодовая фраза : Все, у кого есть разрешение на подключение к сети Wi-Fi, будут иметь это.
- Трафик ассоциации для нового клиента : Если кто-то перехватывает пакеты, отправляемые между маршрутизатором и устройством, когда оно подключается, у него есть все необходимое для расшифровки трафика (конечно, при условии, что у них есть кодовая фраза). Получить этот трафик через Атаки «деаутентификации», которые принудительно отключают устройство от сети Wi-Fi и заставляют его повторно подключиться , вызывая повторный процесс ассоциации.
На самом деле, мы не можем подчеркнуть, насколько это просто. Wireshark имеет встроенная опция для автоматической расшифровки трафика WPA2-PSK при условии, что у вас есть предварительный общий ключ и вы захватили трафик для процесса ассоциации.
Что это на самом деле означает
СВЯЗАННЫЕ С: Шифрование WPA2 вашего Wi-Fi можно взломать в автономном режиме: вот как
Фактически это означает, что WPA2-PSK ненамного более защищен от перехвата, если вы не доверяете всем в сети. Дома вы должны быть в безопасности, потому что ваша парольная фраза Wi-Fi является секретом.
Однако, если вы пойдете в кофейню, и там будет использоваться WPA2-PSK вместо открытой сети Wi-Fi, вы можете чувствовать себя в большей безопасности в своей конфиденциальности. Но вы не должны этого делать - любой, у кого есть кодовая фраза Wi-Fi кофейни, может отслеживать ваш трафик. Другие люди в сети или просто другие люди с парольной фразой могут отслеживать ваш трафик, если захотят.
Обязательно примите это во внимание. WPA2-PSK предотвращает слежку за людьми, не имеющими доступа к сети. Однако, как только они получат кодовую фразу сети, все ставки прекращаются.
Почему WPA2-PSK не пытается это остановить?
WPA2-PSK на самом деле пытается остановить это с помощью «парного переходного ключа» (PTK). Каждый беспроводной клиент имеет уникальный PTK. Однако это мало помогает, потому что уникальный ключ для каждого клиента всегда выводится из предварительно выданного ключа (кодовой фразы Wi-Fi). Вот почему тривиально захватить уникальный ключ клиента, если у вас есть Wi-Fi. Фраза-пароль Fi и может захватывать трафик, отправляемый через процесс ассоциации.
WPA2-Enterprise решает эту проблему… для больших сетей
Для крупных организаций, которым требуются безопасные сети Wi-Fi, этой слабости безопасности можно избежать с помощью аутентификации EAP с сервером RADIUS, иногда называемого WPA2-Enterprise. Благодаря этой системе каждый клиент Wi-Fi получает действительно уникальный ключ. Ни один клиент Wi-Fi не имеет достаточно информации, чтобы просто начать слежку за другим клиентом, поэтому это обеспечивает гораздо большую безопасность. По этой причине крупные корпоративные офисы или государственные учреждения должны использовать WPA2-Enteprise.
Но это слишком сложно и сложно для подавляющего большинства людей - или даже для большинства компьютерных фанатов - использовать дома. Вместо ключевой фразы Wi-FI, которую вы должны ввести на устройствах, к которым вы хотите подключиться, вам придется управлять сервером RADIUS, который выполняет аутентификацию и управление ключами. Для домашних пользователей это намного сложнее.
На самом деле, это даже не стоит вашего времени, если вы доверяете всем в своей сети Wi-Fi или всем, у кого есть доступ к вашей кодовой фразе Wi-Fi. Это необходимо только в том случае, если вы подключены к сети Wi-Fi с шифрованием WPA2-PSK в публичном месте - кафе, аэропорту, гостинице или даже большом офисе - где другие люди, которым вы не доверяете, также имеют Wi-Fi. Кодовая фраза сети FI.
Итак, небо падает? Нет, конечно нет. Но помните: когда вы подключены к сети WPA2-PSK, другие люди, имеющие доступ к этой сети, могут легко отслеживать ваш трафик. Несмотря на то, что большинство людей может полагать, это шифрование не обеспечивает защиты от других людей, имеющих доступ к сети.
Если вам необходимо получить доступ к конфиденциальным сайтам в общедоступной сети Wi-Fi, особенно к сайтам, не использующим шифрование HTTPS, рассмотрите возможность сделать это через VPN или даже SSH туннель . Шифрование WPA2-PSK в общедоступных сетях недостаточно хорошо.
Кредит изображения: Кори Доктороу на Flickr , Food Group на Flickr , Роберт Коус-Бейкер на Flickr
